一、概述

CentOS 搭建openVPN时需要一台有公网IP的服务器。openVPN 是一个基于SSL/TLS的虚拟专用网络（VPN），它允许你创建一个安全的连接，通过它你可以将你的网络流量封装并加密，从而在公网上进行传输。

一、搭建证书环境

二、OpenVPN服务端部署

三、OpenVPN客户端安装部署

二、搭建证书环境

注意：如果采用虚拟机桥接方式搭建，不适用，net模式正常使用

1、添加epel yum源

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

2、下载证书生成工具easy-rsa

yum -y install easy-rsa

3、创建证书环境目录

mkdir -p /opt/easy-rsa
cp -a /usr/share/easy-rsa/3.0.8/* /opt/easy-rsa/
cp -a /usr/share/doc/easy-rsa-3.0.8/vars.example /opt/easy-rsa/vars

4、修改vars配置文件，取消下面配置的注释

vi /opt/easy-rsa/vars 

set_var EASYRSA_DN      "cn_only"
set_var EASYRSA_REQ_COUNTRY     "CN"
set_var EASYRSA_REQ_PROVINCE    "GuangDong"
set_var EASYRSA_REQ_CITY        "GuangZhou"
set_var EASYRSA_REQ_ORG         "IT"
set_var EASYRSA_REQ_EMAIL       "IT@qq.com"
set_var EASYRSA_NS_SUPPORT      "yes"

5、初始化，创建pki目录用于存储证书（以下都在/opt/easy-rsa目录下操作）

cd /opt/easy-rsa/
./easyrsa init-pki

6、创建根证书，根证书用于ca对之后生成的server和client证书签名时使用

./easyrsa build-ca

 7、创建server端证书和密钥文件（nopass表示不加密密钥文件，生成过程中直接默认回车）

./easyrsa gen-req server nopass

8、给server端证书签名

./easyrsa sign server server

9、创建Diffie-Hellman文件，密钥交换时的Diffie-Hellman算法

./easyrsa gen-dh

 

 10、创建client端证书和密钥文件（nopass表示不加密密钥文件，生成过程中直接默认回车）

./easyrsa gen-req client nopass

交互界面默认回车

11、给client端证书签名

 ./easyrsa sign client client

 

二、OpenVPN服务端部署